WickrMe勒索軟件
新的勒索軟件操作已開始針對Microsoft SharePoint Server,這標誌著該特定入口點首次被用於滲透私有公司網絡和部署勒索軟件。類似活動的先前目標是Microsoft Exchange電子郵件服務器,Citrix網關,F5 BIG-IP負載平衡器以及Pulse Secure,Fortinet和Palo Alto Network發布的VPN產品。
由於使用Wickr加密的IM帳戶作為受害者可以用來與網絡罪犯聯繫的通信渠道的一部分,安全廠商正在將攻擊活動作為WickrMe Ransomware(Hello)進行跟踪。 WickMe Ransomware利用的初始折衷向量是一個已知漏洞(CVE-2019-0604),它會影響Microsoft的SharePoint團隊協作服務器。利用此漏洞,威脅參與者可以建立對SharePoint服務器的控制並提供損壞的Web Shell。下一步涉及通過安裝Cobalt Strike信標來創建後門。然後,黑客可以運行自動化的PowerShell腳本,這些腳本最終將在受感染的系統上刪除並執行最終的有效負載-Hello Ransomware威脅。
公司被警告使用漏洞
去年,微軟發布了一篇博客文章,解決了觀察到的攻擊活動的大量增加,這些攻擊活動針對網絡設備中的漏洞作為傳遞勒索軟件威脅的網關。本文提到的特定漏洞中還包括CVE-2019-0604。微軟敦促公司修補勒索軟件組織可能很快成為攻擊目標的漏洞利用程序。
以前,網絡犯罪分子,國家支持的間諜團體和APT(高級持久威脅)發起的廣告系列中都利用了同一SharePoint服務器漏洞。
